Domovská » jak » Použití klíče USB k odemknutí počítače se službou BitLocker

    Použití klíče USB k odemknutí počítače se službou BitLocker

    Povolte šifrování BitLocker a systém Windows automaticky odemkne jednotku při každém spuštění počítače pomocí modulu TPM integrovaného do nejmodernějších počítačů. Můžete však nastavit libovolnou jednotku USB flash jako "spouštěcí klíč", který musí být přítomen při zavádění, než počítač dokáže dešifrovat svůj disk a spustit systém Windows.

    To efektivně přidává dvoufaktorové ověřování k šifrování BitLocker. Kdykoli spustíte počítač, budete muset poskytnout klíč USB, než bude dešifrován. To by bylo obzvláště užitečné s malou jednotkou USB, kterou nosíte s vámi na klíčenku.

    Krok první: Povolit službu BitLocker (pokud jste již neměli)

    To samozřejmě vyžaduje šifrování jednotky BitLocker, což znamená, že pracuje pouze na profesionálních a podnikových edicích systému Windows. Než budete moci postupovat podle níže uvedených kroků, musíte povolit šifrování BitLocker na systémové jednotce z ovládacího panelu.

    Pokud vynecháte způsob, jak povolit službu BitLocker v počítači bez modulu TPM, můžete zvolit vytvoření spouštěcího klíče USB jako součást procesu instalace. Použije se místo TPM. Níže uvedené kroky jsou nutné pouze při povolení funkce BitLocker v počítačích s technologií TPM, které mají nejmodernější počítače.

    Pokud máte domácí verzi systému Windows, nebudete moci používat nástroj BitLocker. Možná bude mít funkce šifrování zařízení, ale funguje to jinak než nástroj BitLocker a neumožňuje vám poskytnout spouštěcí klíč.

    Druhý krok: Povolte spouštěcí klíč v Editoru zásad skupiny

    Jakmile aktivujete funkci BitLocker, je třeba v zásadách skupiny Windows povolit požadavek na spouštěcí klíč. Chcete-li otevřít Editor zásad skupiny, stiskněte klávesu Windows + R na klávesnici, zadejte příkaz "gpedit.msc" do dialogového okna Spustit a stiskněte klávesu Enter.

    Konfigurace počítače> Šablony pro správu> Komponenty systému Windows> Šifrování jednotky BitLocker> Jednotky operačního systému v okně Zásady skupiny.

    Poklepejte na možnost "Požadovat další ověření při spuštění" v pravém podokně.

    V horní části okna vyberte možnost "Povoleno". Poté klikněte na políčko "Konfigurace spouštěcího tlačítka TPM" a vyberte možnost "Vyžadovat spouštěcí klíč s TPM". Klepnutím na tlačítko OK uložte změny.

    Krok třetí: Konfigurace spouštěcího klíče pro váš disk

    Nyní můžete použít manage-bde příkaz konfigurovat jednotku USB pro šifrovanou jednotku BitLocker.

    Nejprve vložte do počítače USB disk. Všimněte si písmena jednotky USB-D: na níže uvedeném obrázku. Systém Windows uloží malý soubor .bek do jednotky a tak se stane spouštěcím klíčem.

    Dále spusťte okno Příkazový řádek jako správce. V systému Windows 10 nebo 8 klepněte pravým tlačítkem myši na tlačítko Start a vyberte příkaz "Příkazový řádek (Admin)". V systému Windows 7 najděte zástupce "Příkazový řádek" v nabídce Start, klepněte pravým tlačítkem myši na něj a vyberte možnost "Spustit jako správce"

    Spusťte následující příkaz. Níže uvedený příkaz funguje na vaší jednotce C: takže chcete-li požadovat spouštěcí klíč pro jinou jednotku, zadejte její písmeno jednotky namísto C: . Budete také muset zadat písmeno jednotky připojené jednotky USB, kterou chcete použít jako spouštěcí klíč namísto X: .

    manage-bde -protektory -add c: -TPMAndStartupKey x:

    Klíč se uloží do jednotky USB jako skrytý soubor s příponou .bek. Můžete vidět, pokud zobrazujete skryté soubory.

    Budete požádáni o vložení jednotky USB při příštím spuštění počítače. Buďte opatrní s klíčem - někdo, kdo zkopíruje klíč z jednotky USB, může tuto kopii použít k odemknutí disku šifrovaného nástrojem BitLocker.

    Chcete-li zkontrolovat, zda byla správně přidána ochrana TPMAndStartupKey, můžete spustit následující příkaz:

    manage-bde -status

    (Zde se zobrazí klíč pro ochranu klíčů "Numerické heslo").

    Jak odebrat požadavek na spouštěcí klíč

    Pokud změníte svůj názor a chcete přestat požadovat spouštěcí klíč později, můžete tuto změnu vrátit zpět. Nejprve přejděte zpět do editoru Zásady skupiny a změňte volbu zpět na možnost Povolit spouštěcí klíč pomocí modulu TPM. Nelze ponechat volbu nastavenou na "Vyžadovat spouštěcí klíč s TPM" nebo systém Windows nebude umožňovat odebrat požadavek na spouštěcí klíč z disku.

    Dále otevřete okno Příkazový řádek jako správce a spusťte následující příkaz (znovu, nahrazení C: pokud používáte jinou jednotku):

    manage-bde -protektory -add c: -TPM

    Tím se nahradí požadavek "TPMandStartupKey" požadavkem "TPM", který odstraní kód PIN. Vaše jednotka BitLocker se při zavádění automaticky odemkne pomocí TPM počítače.

    Chcete-li zkontrolovat úspěšné dokončení, znovu spusťte příkaz Stav:

    manage-bde -status c:

    Zkuste nejprve restartovat počítač. Pokud vše funguje správně a váš počítač nevyžaduje zavedení jednotky USB, můžete volně formátovat disk nebo pouze soubor BEK odstranit. Můžete ji také nechat na disku - tento soubor už nebude nic dělat.


    Pokud ztratíte spouštěcí klíč nebo odstraníte soubor .bek z jednotky, budete muset poskytnout kód obnovení BitLocker pro systémovou jednotku. Pokud jste povolili službu BitLocker pro systémovou jednotku, měli byste mít uložen někam v bezpečí.

    Image Credit: Tony Austin / Flickr